Le imprese italiane al di sopra di una certa soglia dimensionale dovranno prendere dimestichezza con questa espressione ed attivarsi per introdurre canali di segnalazione conformi ai nuovi obblighi introdotti dal decreto legislativo 10.03.2023 n. 24, che ha recepito nel nostro ordinamento la Direttiva UE 2019/1937 (c.d. “Direttiva Whistleblowing”).
Il whistleblowing è un istituto di derivazione anglosassone e si riferisce al soggetto (“whistleblower”, in italiano “segnalatore” o “segnalante”) che, lavorando all’interno di un’organizzazione pubblica o privata, si trovi ad essere testimone di un comportamento irregolare o illecito e decida di segnalarlo all’interno dell’azienda o alle autorità competenti. La normativa riconosce protezione e tutela contro ogni forma di ritorsione che il segnalante dovesse subire come conseguenza della segnalazione stessa.
Per la verità si tratta di concetti non del tutto nuovi. La legge 06.11.2012 n. 190 sulla prevenzione della corruzione aveva infatti introdotto la tutela del whistleblower nell’ambito della Pubblica Amministrazione, estesa poi a far data dal 2017 alle società che avessero adottato un modello di organizzazione, gestione e controllo ai sensi del d.lgs. 231/01.
Direttiva Whistleblowing: i nuovi obblighi normativi
Il d.lgs. 24/2023 amplia decisamente la platea dei soggetti obbligati (perché di obbligo si tratta) a definire chiari processi di gestione delle segnalazioni. Nel settore privato gli adempimenti scattano per le aziende che nell’ultimo anno abbiano impiegato la media di almeno cinquanta lavoratori subordinati, superando così il binomio “Modello 231-whistleblowing”.
Ma in cosa consistono i nuovi obblighi? Le imprese dovranno attivare canali di segnalazione interna che garantiscano la riservatezza dell’identità del segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione. Le segnalazioni potranno essere effettuata in forma scritta, anche con modalità informatiche, oppure anche con segnalazioni orali tramite linee telefoniche, sistemi di messaggistica vocale o incontro diretto.
La protezione dei dati
La gestione delle segnalazioni implica trattamenti di dati personali ulteriori e diversi rispetto a quelli correlati alle ordinarie attività aziendali. Le aziende titolari del trattamento dovranno quindi valutare l’adeguatezza degli strumenti e dei processi adottati alla luce della normativa sulla protezione dei dati, ponderando attentamente le scelte. Nessun allarmismo, gli adempimenti necessari per impostare canali di segnalazione GDPR compliant implicano certamente un’accurata analisi che non deve tuttavia spaventare le organizzazioni. Vediamoli nel dettaglio. L’impresa dovrà:
- definire il proprio modello di ricevimento e gestione delle segnalazioni effettuando una preventiva valutazione d’impatto sulla protezione dei dati (“DPIA”) ai sensi dell’art. 35 GDPR;
- nel rispetto dei principi fondamentali di privacy by design e privacy by default, adottare misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato ai rischi specifici derivanti da trattamenti effettuati, tenuto conto della particolare delicatezza dei dati trattati, dei rischi in termini di possibili effetti ritorsivi e discriminatori per il segnalante, la cui identità è protetta da uno specifico regime di riservatezza, e della particolare “vulnerabilità” dei soggetti coinvolti (segnalante e segnalato). Un importante spunto viene fornito dalle Linee Guida sul whistleblowing dell’Autorità Nazionale Anticorruzione di giugno 2021[1], le quali, pur rivolgendosi all’ambito pubblico, elencano le misure di sicurezza che un efficace sistema di gestione dovrebbe rispettare, quali ad esempio: separazione tra contenuto delle segnalazione e identità del segnalante, crittografia – richiamata anche dall’art. 4 del d.lgs. 24/2023 – accessi selettivi ai dati, sistemi di autenticazione, tracciamento dell’attività degli utenti del sistema per evitare attività improprie, ecc. L’impresa dovrà quindi scegliere attentamente la tipologia di canale interno, documentando le proprie valutazioni ai sensi degli articoli 24 e 25 GDPR, nel rispetto del principio generale di accountability;
- definire i ruoli dei soggetti preposti a gestire le segnalazioni. In caso di ufficio interno all’azienda, il relativo personale dovrà essere autorizzato al trattamento ai sensi dell’art. 29 GDPR – art. 2 quaterdecies d.lgs. 196/2003. Qualora invece la segnalazione sia affidata a un soggetto esterno, l’azienda dovrà procedere con la relativa nomina a responsabile del trattamento ai sensi dell’art. 28 GDPR, previa necessaria verifica dell’affidabilità e delle garanzie del soggetto individuato;
- in caso di utilizzo di un software per la gestione delle segnalazioni, nominare il fornitore responsabile del trattamento;
- predisporre e fornire adeguata informativa ai sensi degli articoli 13 e 14 GDPR sui trattamenti svolti relativi alle segnalazioni, anche in merito ai diritti di cui agli articoli 15-22 GDPR, esercitabili nei limiti di cui all’art. 2 undecies d.lgs. 196/2003. Le informative, unitamente alle informazioni sul canale e sulle procedure, dovranno essere esposte in modo visibile nei luoghi di lavoro e in apposita sezione del sito internet aziendale;
- trattare i dati nel rispetto generale dei principi previsti dall’art. 5 GDPR, con particolare attenzione al principio di minimizzazione. Lo stesso art. 13, comma 2, del decreto esclude la raccolta dei dati che manifestamente non sono utili ai fini della segnalazione e ne prescrive l’immediata cancellazione in caso di raccolta accidentale;
- prestare attenzione ai tempi di conservazione delle segnalazioni e della relativa documentazione. L’art. 14 prevede un tempo massimo di cinque anni dalla data della comunicazione dell’esito finale della procedura di segnalazione;
- aggiornare il registro delle attività di trattamento;
- in caso di condivisione delle risorse per il ricevimento e la gestione delle segnalazioni con altre aziende (facoltà riconosciuta alle organizzazioni che impieghino fino a 249 lavoratori), stipulare un accordo di contitolarità ai sensi dell’art. 26 GDPR.
Per le imprese che occupino fino a 249 dipendenti i nuovi obblighi decorrono dal prossimo 17 dicembre, per quelle da 250 dipendenti in su l’obbligo scatta il 15 luglio.
C’è tutto il tempo quindi per adottare la soluzione più adeguata rispetto alla propria realtà, con il necessario supporto del DPO, ove presente, o del consulente privacy, considerando i nuovi obblighi come un ulteriore opportunità per migliorare la compliance aziendale.
[1] adottate con Delibera n. 469 del 9 giugno 2021